Атаки на систему доменних імен (DNS) численні та різноманітні, тому організаціям доводиться покладатися на рівні захисні заходи, як-от моніторинг трафіку, розвідка про загрози та передові мережеві брандмауери, щоб діяти узгоджено. Оскільки атаки на NXDOMAIN зростають, організаціям необхідно посилити захист DNS.

З випуск Shield NS53, Akamai приєднується до зростаючого списку постачальників безпеки з інструментами DNS, здатними захищати від атак NXDOMAIN. Нова служба розширює технології Akamai Edge DNS у хмарі до локальних розгортань.

Під час атаки NXDOMAIN — також відомої як DDoS-атака DNS Water Torture — зловмисники переповнюють DNS-сервер великою кількістю запитів щодо неіснуючих (звідси префікс NX) або недійсних доменів і субдоменів. Проксі-сервер DNS використовує більшу частину, якщо не всі, своїх ресурсів, надсилаючи запити до офіційного сервера DNS, до точки, коли сервер більше не має можливості обробляти будь-які запити, законні чи фальшиві. Більша кількість небажаних запитів, що потрапляють на сервер, означає, що для їх обробки потрібно більше ресурсів — центрального процесора сервера, пропускної здатності мережі та пам’яті, а обробка законних запитів займає більше часу. Коли люди не можуть зайти на веб-сайт через помилки NXDOMAIN, це означає потенційно втрата клієнтів, втрата прибутку та репутаційна шкода.

NXDOMAIN був поширеним вектором атак протягом багатьох років і стає все більшою проблемою, каже Джим Гілберт, директор з управління продуктами Akamai. Минулого року Akamai виявила, що 40% загальних DNS-запитів для 50 найпопулярніших клієнтів фінансових послуг містили записи NXDOMAIN.

Посилення захисту DNS

Хоча теоретично можливо захиститися від DNS-атак, додавши більше потужності — більше ресурсів означає, що потрібні більші та тривалі атаки, щоб вивести з ладу сервери — для більшості організацій це не є фінансово життєздатним або масштабованим технічним підходом. Але вони можуть посилити захист DNS іншими способами.

Захисники підприємства повинні переконатися, що вони розуміють своє середовище DNS. Це означає задокументувати, де наразі розгорнуто DNS-перетворювачі, як локальні та хмарні ресурси взаємодіють з ними та як вони використовують розширені служби, такі як Anycast, і протоколи безпеки DNS.

«Можуть існувати вагомі причини щодо відповідності підприємствам, які бажають зберегти свої вихідні DNS-ресурси на місці», — каже Гілберт з Akamai, зазначивши, що Shield NS53 дозволяє підприємствам додавати засоби захисту, зберігаючи існуючу інфраструктуру DNS недоторканою.

Захист DNS також має бути частиною загальної стратегії запобігання розподіленої відмови в обслуговуванні (DDoS), оскільки багато атак DDoS починаються з використання DNS. За даними Akamai, майже дві третини DDoS-атак минулого року використовували певну форму DNS-експлойтів.

Перш ніж що-небудь придбати, менеджери з безпеки повинні розуміти як обсяг, так і обмеження потенційного рішення, яке вони оцінюють. Наприклад, хоча послуги безпеки DNS Palo Alto охоплюють широкий набір DNS-експлойтів, крім NXDOMAIN, клієнти отримують такий широкий захист, лише якщо вони мають брандмауер наступного покоління постачальника та підписані на його службу запобігання загрозам.

Захист DNS також має бути пов’язаний із надійною службою аналізу загроз, щоб захисники могли ідентифікувати й швидко реагувати на потенційні атаки та зменшувати кількість помилкових спрацьовувань. Такі постачальники, як Akamai, Amazon Web Services, Netscout, Palo Alto та Infoblox, керують великими мережами збору телеметрії, які допомагають їхнім інструментам захисту DNS та DDoS виявити атаку.

Агентство з кібербезпеки та безпеки інфраструктури склав низку рекомендованих дій що включає додавання багатофакторної автентифікації до облікових записів їхніх адміністраторів DNS, а також моніторинг журналів сертифікатів і дослідження будь-яких розбіжностей.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/remote-workforce/akamai-boosts-dns